Zoek op trefwoord, naam of systeem:

Blog

  • 29
    juni
    2017
    David Gonzalo, Technology Professional

    WannaTry?

    De afgelopen maanden staan niet alleen in het teken van fysieke terreur. Ook in de digitale wereld hebben wij er dagelijks mee te maken. WannaCry kende al veel “slachtoffers” en deze week heeft het gijzelvirus Petya toegeslagen. Door het encrypten van data in ruil voor geld, in het geval van WannyCry, bieden de gijzelnemers de slachtoffers valse hoop met het teruggeven van de bestanden door de decryptie sleutel te geven. Echter is het maar de vraag of de hackers zich aan hun woord houden.

    Afgezien van het feit dat cryptolockers zoals WannaCry en Petya door ransomware ontwikkelaars slim is gebouwd, bevatten ze ook bugs. Deze bugs zorgen ervoor dat de slachtoffers hun data in sommige gevallen nog kunnen redden.

    Deze blog is een korte toelichting waarin verschillende fouten aan het licht komen die makers van WannaCry, en wellicht ook de makers van Petya, per ongeluk in hun programmatuur hebben achtergelaten.

    Fouten met het verwijderen van het originele bestand

    Voordat WannaCry de bestanden van de slachtoffers versleutelt, leest deze eerst het originele bestand en slaat de gelezen inhoud versleuteld op in het bestandsformaat “.wncryt”. Nadat het bestand geheel geencrypt is, verandert WannaCry het bestandsformaat van “.wncryt” naar “.wincry” en verwijdert vervolgens het originele bestand.

    Kaspersky Labs heeft onderzocht dat de wijze van het verwijderen van bestanden afhankelijk is van de locatie waarin het bestand zich bevindt en de eigenschappen van de bestanden.

    Bestanden op de systeemschijf

    De makers van deze ransomware hebben een bepaalde kijk op hoe zij denken dat gebruikers hun belangrijke bestanden opslaan. Zij gaan er onder andere van uit dat bestanden die op het bureaublad en in de map “documenten” staan belangrijk kunnen zijn voor de gebruikers. WannaCry zal op deze locaties het originele bestand overschrijven met willekeurige data voordat de originele bestanden worden verwijderd. In deze situatie is het niet mogelijk om de originele inhoud van het bestand te herstellen.

    Als een bestand opgeslagen is op een locatie die door ransomware makers als niet belangrijk wordt beschouwd, worden de originele bestanden verplaatst naar de directory %temp%/*.wncryt (*kan een numerieke waarde bevatten). Deze bestanden bevatten de originele data en worden niet overschreven. Ze worden slechts verplaatst en hernoemd. De kans is groot dat deze bestanden hersteld kunnen worden.

    Bestanden op andere locaties en schijven

    WannaCry creëert zelf de folder $RECYCLE met de attributen hidden+system. Standaard hebben de gebruikers Windows zodanig ingesteld dat systeem en verborgen bestanden en mappen niet zichtbaar zijn in de verkenner. WannaCry kan na voltooiing van de encryptie de originele bestanden in deze map plaatsen.

    Ook is gebleken dat er in de programmacode synchronisatiefouten zitten. Hierdoor blijven de originele bestanden vaak op dezelfde locatie en worden niet naar de map $RECYCLE verplaatst.

    De originele bestanden kunnen ook snel verwijderd worden. Door het snel verwijderen zijn deze bestanden vaak via restore software weer te herstellen.

    Read-only error    

    WannaCry schijnt bestanden die gemarkeerd zijn als read-only niet te encrypten. In plaats daarvan creëert WannaCry een geencrypte kopie van elk originele bestand. Vervolgens worden de originele bestanden gemarkeerd met de attribuut ‘hidden’, waardoor deze niet direct zichtbaar zijn in de Windows Verkenner. De oplossing hiervoor is om deze bestanden weer als zichtbaar te markeren.

    Conclusie m.b.t. ransomware als WannaCry

    Systemen en programmatuur zijn niet foutloos en ransomware is dat gelukkig ook niet. Indien de PC geïnfecteerd is met WannaCry bestaat er een goede kans dat de bestanden terug te halen zijn door middel van restore software, het lokaliseren van verborgen mappen en bestanden.

    Na een spannende periode met WannaCry werd afgelopen week duidelijk dat er een nieuwe bedreiging is voor de data van organisaties: Petya.

    Petya wil de schijn ophouden van een cryptolocker, waarbij organisaties die getroffen zijn geld kunnen overmaken via bitcoins om hun bestanden weer te ontsleutelen. Experts denken daar nu anders over. Het virus lijkt bedoeld zijn om snel te verspreiden en schade aan te richten door bestanden te verwijderen. Gebruikers worden in de waan gelaten dat hun bestanden vrijgegeven worden na betaling van bitcoins.

    Er is een eenvoudige manier om Petya tegen te gaan, door het plaatsen van een read-only bestand met de naam ‘perfc’ in de Windows map. Voor degenen die al getroffen zijn biedt dit helaas geen oplossing.

mm

Auteur: David Gonzalo,

Trefwoorden: Internet Security

Email David Gonzalo

Lees alle blogberichten van David Gonzalo

Deel dit bericht

Geen reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *